Необычно точная поддельная страница входа в систему Google. Эмма Уильямс, CC BY-ND

Каждый день в компании забрасывают фишинг-мошенниками. В недавнем опросе, посвященном профессионалам кибербезопасности 500 по всему миру, 76% переправу что их организация стала жертвой фишинговой атаки в 2016.

Эти мошенничества принимают форму электронных писем, которые пытаются убедить сотрудников загружать вредоносные вложения, нажимать на изворотливые ссылки или предоставлять личные данные или другие конфиденциальные данные. Целевая кампания фишинга электронной почты «копье» была обвинена в подстрекательстве к недавней кибератаке, которая вызвала основные отключения электроэнергии в Украине.

Еще более тревожно, что фишинг-атаки теперь являются самым популярным способом доставки ransomware в сеть организации. Это тип программного обеспечения, которое обычно шифрует файлы или блокирует экраны компьютеров, пока не будет выплачен выкуп. Требуемые суммы вообще довольно маленький, что означает, что многие организации просто оплачивают выкуп без, конечно, никакой гарантии, что их системы будут разблокированы. Перед лицом этих фишинговых атак сотрудники стали фронт кибербезопасности, Таким образом, снижение их уязвимости перед фишинговыми сообщениями стало серьезной проблемой для компаний.

Дисциплинарные проблемы

Поскольку организации борются за сдерживание угрозы, одна идея, которая набирает силу, - это потенциальное использование дисциплинарные процедуры против сотрудников, которые нажимают на фишинговые письма. Это варьируется от завершения обучения до формальных дисциплинарных мер, особенно для так называемых «повторных кликеров» (людей, которые чаще всего реагируют на фишинговые письма). Они представляют собой особая слабая точка в кибербезопасности.

Это не обязательно - и, действительно, это хорошая идея. Для начала мы по-прежнему не понимаем, что заставляет людей реагировать на фишинговые письма в первую очередь. Исследования - это всего лишь царапание поверхности, почему люди могут реагировать на них. Электронная почта, рабочее место культура и нормы, степень знания, которую человек имеет, независимо от того, отвлекается ли сотрудник или находится под высокой степенью давления - существует разнообразное понимание онлайн-рисков, все из которых могут повлиять на то, смогут ли люди идентифицировать фишинговое письмо в определенный момент времени.

К сожалению, это означает, что есть еще больше вопросов, чем ответов. Являются ли некоторые рабочие роли более уязвимыми из-за тех видов задач, в которых они участвуют? Является ли обучение эффективным в обучении персонала рискам фишинговых атак? Способны ли сотрудники при необходимости определять приоритетность безопасности на других рабочих местах? Среди этих неизвестных, сосредоточение внимания на дисциплинарном подходе представляется преждевременным и может повлиять на другие усилия, которые могут быть более эффективными.

Целевые фишинг-атаки также становятся все более сложными и трудными для определения, даже для технических пользователей. Недавние атаки (по PayPal и Google, например).

Теперь невероятно просто создать мошенническое письмо, которое выглядит очень похоже, если не почти идентично, законному. Поддельные адреса электронной почты, включение точных логотипов, правильные раскладки и подписи электронной почты могут все затруднить распознавание фишингового письма от подлинного.

Сохраняйте спокойствие и продолжайте

Фишеры также очень хороши в создание сценариев которые максимизируют вероятность того, что люди будут реагировать. Они внушают ощущение паники и срочности такими вещами, как имитация авторитетных фигур в организации создать ощущение кризиса, Или они сосредоточены на потенциальном негативном воздействии отказа от ответа, Когда мы признаем повышенную изощренность, проявленную в арсенале фишера, становится все труднее оправдать наказание сотрудников за то, что они стали жертвой их обмана.

Имитированные фишинг-атаки часто используются как способ повышения осведомленности сотрудников. Несмотря на то, что были высказаны предложения об улучшенных ставках кликов после таких программ, отсутствует всесторонняя оценка диапазона потенциальных воздействий на сотрудников. А также некоторые исследования указывает на то, что сотрудники просто отказываются от попыток справиться с угрозой, поскольку это похоже на проигрышную битву.

Культура вины и виктимизации также может сделать сотрудников менее желающими признать свои ошибки. Любой из этих результатов может повредить отношения между персоналом службы безопасности организации и другими ее сотрудниками. В свою очередь это окажет негативное влияние на культуру безопасности организации. Это говорит о возврате к авторитарной роли безопасности, которая , согласно исследованиям, является шагом назад, если мы хотим полностью вовлечь сотрудников в инициативы в области безопасности.

Смягчение воздействия организации на фишинг-атаки представляет собой сложную и развивающуюся проблему. Недавний #AskOutLoud кампания австралийского правительства побуждать людей запрашивать второе мнение, когда они получают подозрительное письмо, является хорошим примером того, как эта проблема может быть решена. Он поощряет разговор и делится опытом. Использование такого подхода может обеспечить, чтобы сотрудники чувствовали себя уполномоченными и поощряли сообщать о подозрениях, что является жизненно важным элементом в обеспечении кибербезопасности.

Исследования Очистить что кибер-безопасность зависит от открытого диалога, участия сотрудников, когда дело касается разработки решений и доверия между персоналом службы безопасности организации и другим персоналом. Как старое клише идет: вы так сильны, как ваше самое слабое звено. Поэтому крайне важно, чтобы все сотрудники были поддержаны, чтобы быть эффективной линией фронта в защите своей организации.

Об авторе

Эмма Уильямс, научный сотрудник, Университет Бата и Деби Эшенден, профессор кибербезопасности, Портсмутский университет

Эта статья изначально была опубликована в Беседа, Прочтите оригинал статьи.

Книги по этой теме

at Внутренний рынок самовыражения и Amazon